Защищаем беспроводную сеть: руководство THG - Tom's Hardware Guide Russia

Статья взята с http://www.thg.ru/
Андрей Пировских

Введение

Введение

Не так давно на страницах нашего сайта вышло руководство по взлому WEP, в которой мы показали, что надёжность WEP далека от желаемой. Сегодня, мы покажем, как можно защитить беспроводную сеть.

Все профессионалы по сетевой безопасности знают, что такого понятия, как "совершенная защита" просто нет. Для правильного планирования безопасности нужно учитывать стоимость защищаемых ценностей, стоимость внедрения системы безопасности, а также способности потенциальных атакующих. Другими словами, прежде чем внедрять все меры защиты, известные человечеству, разумнее (и дешевле) внедрить меры защиты от наиболее частых угроз.

Например, беспроводные сети, расположенные в городах, обычно подвергаются атакам чаще, чем сети, расположенные в малонаселённой местности. За день в городе через вашу сеть могут пройти десятки и даже сотни посетителей. Кроме того, злоумышленники могут оставаться незамеченными, находясь в машине, припаркованной неподалёку. С другой стороны, точка доступа, расположенная в доме посередине деревни, вряд ли когда-нибудь увидит чужого посетителя, да и незнакомый транспорт будет сразу же заметен.

Нужно ли защищать свою сеть?

Для некоторых пользователей настройка безопасности беспроводных сетей кажется сложной, они надеются на "авось пронесёт" и оставляют свою сеть абсолютно открытой, то есть незащищённой. Также люди иногда говорят: "Я использую сеть лишь для просмотра интернет-страниц, да и на моём компьютере нет ничего особо ценного. Тогда зачем мне вообще связываться с защитой?" Хороший вопрос, но на него есть такие же хорошие ответы.

Незащищённая беспроводная сеть подвержена трём основным опасностям.

  1. Ваши сетевые ресурсы будут доступны незнакомцам.
    Как только кто-то подключается к вашей беспроводной сети, он ничем не отличается от пользователя, подсоединившегося к проводному коммутатору вашей сети. Если вы никак не ограничиваете доступ к общим ресурсам, то незваные гости могут делать всё то же самое, что и известные пользователи.
    Они могут копировать изменять или даже полностью удалять файлы, каталоги или даже целые диски. Или даже хуже - запускать перехватчики нажатий клавиатуры, "трояны", или другие вредоносные программы, которые будут работать на неизвестных хозяев.
  2. Весь сетевой трафик может быть перехвачен для дальнейшего исследования.
    Имея при себе нужные инструменты, можно в режиме реального просматривать посещаемые вами web-страницы, адреса сайтов и, что хуже, перехватывать ваши пароли для дальнейшего использования, чаще всего в корыстных целях.
  3. Ваш интернет-канал может использоваться для любой деятельности, в том числе и незаконной.
    Если открытая беспроводная сеть будет использоваться для нелегального распространения фильмов или музыки, то во многих странах за это можно поплатиться иском со стороны правоохранительных органов. Если же канал использовался для передачи на внешний ресурс чего-то более противозаконного, например, детской порнографии, или же такой сервер появился внутри сети, проблемы могут быть гораздо более серьёзными. Кроме того, каналом могут воспользоваться спамеры, любители атак DoS и распространители вредоносного ПО, вирусов, да и многие другие.

Вполне разумно раздавать доступ в Интернет всем вашим гостям. Но до тех пор, пока вы не обеспечите серьёзную защиту беспроводной сети, вы рискуете.

Ниже мы рассмотрим меры по защите беспроводной сети в соответствие с предполагаемым уровнем умений незваных гостей. Мы приведём способы противодействия для защиты от хакеров разного уровня подготовки.

Примечание. В тексте статьи под точкой доступа мы будем понимать точку доступа или беспроводной маршрутизатор.


Умения нулевого уровня: любой владелец компьютера с беспроводным адаптером

Для того чтобы "взломать" незащищённую сеть можно и не обладать какими-либо особыми навыками - каждый владелец компьютера с беспроводным адаптером потенциально способен это сделать. Простота использования чаще упоминается в контексте беспроводных сетевых решений как огромный плюс, однако это палка о двух концах. Во многих случаях, включив компьютер с поддержкой беспроводной сети, пользователь автоматически подключается к точке доступа или видит её в списке доступных.

Ниже приведены меры, которые позволят защитить вашу сеть от случайных посетителей, но ничуть не затруднят доступ к ней более умелым взломщикам. Все меры упорядочены в списке по важности. Большинство из них настолько просты, что мы рекомендуем реализовать их все, если позволяет оборудование.

1. Смените настройки по умолчанию

Как минимум, измените пароль администратора (и имя пользователя, если можно) и идентификатор SSID (имя сети) на точке доступа. Как правило, учётные данные администратора, установленные по умолчанию, открыто доступны для большинства беспроводного оборудования. Так что, не заменив их, вы рискуете однажды получить отказ при входе в систему и лишиться возможности управления беспроводной сетью (до тех пор, пока не сбросите все настройки)!

Изменить SSID особенно необходимо в том случае, если вы работаете по соседству с другими точками доступа. Если точки соседние доступа окажутся того же производителя, то они имеют тот же SSID по умолчанию, и клиенты, вполне вероятно, смогут неосознанно подключиться к вашей ТД, а не к своей. Для нового SSID не следует использовать личную информацию! Во время вардрайвинга нам удавалось заметить следующие SSID:

  • имя и фамилия;
  • улица, дом, квартира;
  • номер паспорта;
  • номер телефона.

В принципе, если рядом есть несколько точек доступа, то имеет смысл изменить и канал, чтобы избежать взаимных помех. Однако эта мера не особо повлияет на защищённость, поскольку клиенты чаще всего просматривают все доступные каналы.

2. Обновите прошивку и, если нужно, оборудование

Использование на точке доступа последней версии программного обеспечения также повышает безопасность. В новой прошивке обычно исправлены обнаруженные ошибки, а иногда и добавлены новые возможности защиты. У некоторых новых моделей точек доступа для обновления достаточно пару раз щёлкнуть кнопкой мыши.

Точки доступа, выпущенные несколько лет назад, часто уже не поддерживаются производителями, то есть новых прошивок ожидать не стоит. Если же прошивка вашей точки доступа не поддерживает даже WPA (Wi-Fi Protected Access), не говоря о WPA2, то следует всерьёз задуматься о её замене. То же самое касается адаптеров!

В принципе, всё продаваемое сегодня оборудование 802.11g поддерживает, как минимум, WPA и технически способно быть модернизировано до уровня WPA2. Однако, производители не всегда торопятся с обновлением старых продуктов, так что если хотите убедиться, поддерживает ли ваше оборудование WPA2, обратитесь на сайт Wi-Fi Alliance.

3. Отключите широковещание SSID

Большинство точек доступа позволяют отключить широковещание SSID, что может обвести вокруг пальца некоторые утилиты вроде Netstumbler. Кроме того, скрытие SSID блокирует обнаружение вашей сети средствами встроенной утилиты настройки беспроводной сети Windows XP (Wireless Zero Configuration) и других клиентских приложений. На Рис. 1 показан пункт отключения широковещания SSID "Hide ESSID" на точке доступа ParkerVision. ("SSID" и "ESSID" в данном случае означают одно и то же).

Нажмите на картинку для увеличения

Рис. 1. Отключение широковещания SSID на точке доступа Parkervision.

Примечание. Отключение широковещания SSID не обезопасит вас от взломщиков, использующих такие средства, как Kismet или AirMagnet. Они определяют наличие беспроводной сети независимо от SSID.

4. Выключайте сеть, когда не работаете!

Часто пользователи пропускают мимо внимания самый простой способ защиты - выключение точки доступа. Раз нет беспроводной сети, то нет и проблем. Простейший таймер может отключать точку доступа, например, на ночь, пока вы ей не пользуетесь. Если для беспроводной сети и для доступа в Интернет вы используете один и тот же беспроводной маршрутизатор, то при этом соединение с Интернетом тоже не будет работать - вполне неплохо.

Если же вы не хотите отключать соединение с Интернетом, тогда можно отключать радиомодуль маршрутизатора вручную - если он это позволяет. На Рис. 2 показан пункт отключения радиомодуля. Такой способ недостаточно надёжен, поскольку он зависит от "человеческого фактора" - можно просто забыть об отключении. Возможно, производители когда-нибудь добавят функцию отключения радиомодуля по расписанию.

4. Выключайте сеть, когда не работаете!

Рис. 2. Отключение радиомодуля.

5. Фильтрация по MAC-адресам

Фильтрация по MAC-адресам используется для того, чтобы доступ к сети могли получить (или наоборот, не получить) только те компьютеры, чьи адреса указаны в списке. Фильтрация защитит вашу сеть от новичков, но более опытные хакеры могут легко перехватить MAC-адреса и подменить свой адрес на один из разрешённых.

Нажмите на картинку для увеличения

Рис. 3. Фильтрация MAC-адресов на точке доступа USR 8011.

6. Снижение мощности передачи

Лишь некоторые потребительские точки доступа имеют эту функцию, однако снижение мощности передачи позволит ограничить количество как преднамеренных, так и случайных неавторизованных подключений. Впрочем, чувствительность доступных массовому пользователю беспроводных адаптеров постоянно растёт, так что вряд ли стоит озадачиваться этим способом, особенно если вы это делаете исключительно из-за безопасности в многоквартирном доме.

Опытные хакеры обычно используют мощные направленные антенны, что позволяет им обнаруживать даже очень слабый сигнал и сводит существенность этого пункта к нулю.


Умения первого уровня: пользователь с общедоступным набором утилит для взлома WLAN

Перейдём к более опытным пользователям, которые специально бродят по окрестностям в поисках беспроводных сетей. Некоторые занимаются этим просто из интереса, пытаясь обнаружить, сколько сетей находится рядом. Они никогда не пытаются использовать уязвимые сети. Но есть и менее доброжелательные хакеры, которые подключаются и используют сети, а иногда даже доставляют владельцам неудобства.

Как мы полагаем, все принятые меры нулевого уровня не спасут от взломщиков первого уровня. Так что незваный гость может проникнуть в вашу сеть. Единственное, как можно от него защититься - использовать шифрование и аутентификацию. С аутентификацией будем разбираться немного позже, пока же остановимся на шифровании.

Примечание. Одно из возможных решений - пропускать весь беспроводной трафик через туннель VPN (Virtual Private Network - виртуальная частная сеть), однако настройка VPN не совсем проста и выходит за рамки данного материала.

7. Шифрование

Владельцам беспроводных сетей следует использовать самый надёжный из доступных методов шифрования. Конечно, здесь всё зависит от оборудования, но так или иначе, обычно можно выбрать WEP, WPA или WPA2.

WEP (Wired Equivalent Privacy - безопасность, эквивалентная проводной сети) является наиболее слабым протоколом, но на текущее время он наиболее широко распространён и поддерживается практически всем оборудованием 802.11. Возможно, придётся остановиться на использовании этой технологии и потому, что не все производители беспроводного оборудования выпустили обновления прошивки с поддержкой WPA для оборудования 802.11b. Некоторые до сих пор выпускают оборудование, которое поддерживает только WEP, например, беспроводные VoIP-телефоны. Таким образом, приходится искусственно снижать безопасность сети из-за того, что не всё оборудование поддерживает более новые технологии.

Как WPA (Wi-Fi Protected Access), так и WPA2 обеспечивают хорошую защиту беспроводной сети, что обеспечивается благодаря более стойкому алгоритму шифрования и улучшенному алгоритму управления ключами. Основное отличие между ними состоит в том, что WPA2 поддерживает более стойкое шифрование AES (Advanced Encryption Standard). Однако, ряд продуктов, поддерживающих WPA, тоже позволяют использовать алгоритм шифрования AES вместо стандартного TKIP.

Большинство продуктов 802.11g поддерживают WPA (есть исключения). Что касается обновления старых продуктов до WPA2, то многие прошивки до сих пор находятся в состоянии разработки, несмотря на то, что стандарт 802.11i, на котором основан WPA2, был утверждён ещё в июне 2004.

Мы рекомендуем, по меньшей мере, использовать WPA. Его эффективность сопоставима с WPA2, и, как мы уже писали, стандарт поддерживается большим количеством оборудования. Конечно, внедрение WPA может потребовать покупки нового оборудования, особенно, если вы используете 802.11b. Однако оборудование 11g стоит сегодня относительно недорого и сможет оправдать себя.

Большинство потребительских точек доступа WPA и WPA2 поддерживают только режим с общим паролем WPA-PSK (Pre-Shared Key) (Рис. 4). WPA2 или WPA "Enterprise" (он же WPA "RADIUS") также поддерживается в некотором оборудовании, однако, его использование требует наличия сервера RADIUS.

7. Шифрование

Рис. 4. Шифрование трафика на точке доступа Netgear.

Для большинства частных беспроводных сетей использование WPA-PSK обеспечит вполне достаточную защиту, но только при выборе относительно длинного и сложного пароля. Не следует использовать только цифры или слова из словаря, поскольку такие программы, как cowpatty, позволяют проводить словарные атаки против WPA-PSK.

Роберт Москович (Robert Moskowitz), старший технический директор ICSA Labs, в своей статье рекомендовал использовать 128-битное шифрование PSK. К счастью, все реализации WPA позволяют использовать цифробуквенные пароли, то есть для выполнения рекомендация Московича достаточно 16 символов.

В Интернете можно найти множество генераторов паролей, стоит лишь воспользоваться поисковой системой. Например, вот этот имеет множество настроек и позволяет оценивать, сколько займёт взлом сгенерированного пароля.

И, наконец, некоторые производители оборудования стали продавать точки доступа и беспроводные адаптеры с автоматической настройкой защиты беспроводных соединений. Buffalo Technology выпустила серию продуктов с технологией AOSS (AirStation One-Touch Secure Station). Linksys недавно начала производство и продажу оборудования с поддержкой подобной технологии SecureEasySetup от Broadcom.


Умения второго уровня: пользователь с расширенным набором утилит для взлома WEP/WPA-PSK

WPA и WPA2 закрывают большинство проблем, которые есть у WEP, но они всё же остаются уязвимыми, особенно в варианте PSK. Многие уже сами испробовали, как взломать WEP, тем более что в нашем предыдущем материале мы пошагово описали процедуру взлома.

Взлом WPA и WPA2 с паролем более сложен и требует больших затрат, особенно при использовании шифрования AES, но всё же возможен.

8. Аутентификация

Для защиты от этой угрозы следует внедрять аутентификацию. Аутентификация добавляет ещё один уровень безопасности, требуя, чтобы компьютер клиента зарегистрировался в сети. Традиционно это выполняется при помощи сертификатов, маркеров или паролей (также известных как Pre-Shared-Key), которые проверяются на сервере аутентификации.

Стандарт 802.1X позволяет работать с WEP, WPA и WPA2 и поддерживает несколько типов аутентификации EAP (Extensible Authentication Protocol). Подробнее о протоколах аутентификации EAP, WPA and WPA2 вы можете узнать в материале Джорджа Оу (George Ou).

Настройка аутентификации может оказаться затруднительной и дорогой задачей даже для профессионалов, не говоря об обычных пользователях. На нынешней конференции RSA в Сан-Франциско, например, многие посетители решили не настраивать безопасность беспроводных подключений только из-за того, что руководство занимало целую страницу!

К счастью, ситуация постоянно улучшается, и вам уже не нужно покупать полноценный сервер RADIUS, поскольку появилось множество простых в установке альтернативных решений. Например, LucidLink предлагает бесплатную полнофункциональную версию одноимённого сервера до конца 2005 года, поддерживающего средства аутентификации и защиты для трёх пользователей.

Подобный продукт от Wireless Security Corporation (недавно приобретённой McAfee), носит название WSC Guard. Цена подписки на него начинается от $4,95 в месяц за каждого пользователя, при оплате нескольких мест действуют скидки. Бесплатную 30-дневную тестовую версию можно скачать здесь.

Следующее решение больше подходит для опытных "сетевиков" - TinyPEAP является прошивкой с сервером RADIUS, который поддерживает аутентификацию PEAP на беспроводных маршрутизаторах Linksys WRT54G и GS. Отметим, что прошивка официально не поддерживается Linksys, так что установка выполняется на свой страх и риск.

Умения третьего уровня: профессиональный хакер

До сего момента защита сводилась к тому, чтобы не дать злоумышленнику подключиться к вашей сети. Но что делать, если несмотря на все усилия, хакер пробрался в сеть?

Существуют системы обнаружения и предотвращения атак для проводных и беспроводных сетей, однако они нацелены на корпоративный уровень и имеют соответствующую стоимость. Также можно найти и решения, основанные на открытом исходном коде, но они, к сожалению, не совсем понятны для новичков. Кстати, наиболее популярной здесь является система Snort.

За многие годы существования проводных сетей были выработаны основные принципы безопасности, которые можно применять и к беспроводным сетям. Они позволят защититься от вторжения злоумышленника.

9. Общая безопасность сети

Для усиления защиты сетей следует внедрить следующие меры.

  • Аутентификация при обращении к любому сетевому ресурсу.
    Любой сервер, любой общий ресурс, панель управления маршрутизатором и т.д. должны требовать аутентификации. Хотя внедрить настоящую аутентификацию на уровне пользователей без сервера аутентификации невозможно, как минимум, следует установить пароли на все общие ресурсы и отключить гостевую учётную запись, если вы используете Windows XP. И никогда не предоставляйте в общее пользование целые разделы!
  • Сегментирование сети.
    Компьютер, не подключённый к сети, защищён от сетевых атак. Однако есть и другие способы ограничения доступа. Несколько правильно настроенных недорогих маршрутизаторов NAT могут послужить прекрасной основой для создания защищённых сегментов LAN, с возможностью доступа из них в Интернет. Подробнее об этом читайте здесь.
    Коммутаторы или маршрутизаторы с поддержкой VLAN также помогут с разделением сети. Впрочем, функции VLAN есть на большинстве управляемых коммутаторов, однако практически не встречаются в недорогих маршрутизаторах и неуправляемых коммутаторах.
  • Программные средства защиты.
    Как минимум, нужно использовать обновлённые антивирусные решения и регулярно обновлять базы. Персональные брандмауэры, такие как ZoneAlarm, BlackICE и другие оповестят о подозрительной сетевой активности. К сожалению, последние версии вредоносных и "шпионских" программ требуют установки ещё и специального "анти-шпионского" программного обеспечения. Здесь можно отметить Webroot Softwares Spy Sweeper, а также Sunbelt Software's CounterSpy.
    Отметим, что для организации надёжной защиты сети необходимо защитить все машины без исключения!
  • Шифрование файлов.
    Шифрование файлов с использованием криптостойких алгоритмов обеспечит надёжную защиту на случай неавторизованного доступа. Пользователи Windows XP могут воспользоваться Windows Encrypted File System (EFS). Пользователи Mac OS X Tiger - FileVault. Из минусов шифрования можно отметить, что оно требует ресурсов процессора, что может замедлить работу с файлами сильнее.

Заключение

Безусловно, беспроводные сети добавляют немало удобства, но нужно с умом подходить к их защите. Если вы не сделаете защиту самостоятельно, то никто не сделает это за вас. Конечно, от профессионального хакера вы вряд ли защититесь, но значительно осложните его работу. Да и вряд ли ваша сеть будет интересна профессионалам. А вот от многочисленных любителей нашкодить вы будете защищены. Так что взвесьте все "за" и "против", и защитите свою сеть!

X